Блокировать загрузку p2p в моем офисе?

9045
Andrew

Я работаю в офисе образования в стране третьего мира. Мы платим за интернет мегабайтом (другого выбора нет) и в последнее время используем невероятную пропускную способность. Это потому, что сотрудники офиса узнали о совместном использовании p2p. Насколько я знаю, Limewire - единственная программа, которую они используют, но я уверен, что это всего лишь вопрос времени, когда они откроют для себя более общий мир bittorrent.

Используя только маршрутизатор linksys (который я мог бы прошить), могу ли я как-то предотвратить предотвращение офисом ограничения пропускной способности, загружая личные вещи (против политики).

Даже полуфиксы будут лучше, чем ничего.

8
твердый брандмауэр может заблокировать это .. ukanth 14 лет назад 1
На этот вопрос также могут быть найдены хорошие ответы на serverfault.com, поскольку он звучит как типичная задача системного администратора (если, конечно, вы не найдете здесь удобной). Gnoupi 14 лет назад 3
(Третий мир - вы уверены? Http://en.wikipedia.org/wiki/Third_World) Arjan 14 лет назад 0
Limewire? Обучите их правильному использованию p2p, а затем скажите им не делать этого. Phoshi 14 лет назад 1
Арджан, термин потерял свое первоначальное значение. Эндрю использует его в разговорной речи, как и большинство людей, для обозначения одной из самых бедных стран в мире. Travis 14 лет назад 0
Соответствует обоим определениям. :-) Andrew 14 лет назад 0
На самом деле я хотел сказать, что никто не должен больше использовать этот термин применительно к развивающимся странам. Но если даже кто-то, кто там работает, использует это и может улыбаться, то, видимо, я ошибаюсь. :-( Arjan 14 лет назад 2

7 ответов на вопрос

6
scuzzy-delta

Оба хороших ответа от satanicpuppy и cschreiner. Я добавлю свои 0,02 доллара. Если маршрутизатор linksys примет прошивку Tomato ( http://www.polarcloud.com/tomato ), вы можете использовать параметры Traffic Shaping / QoS для отмены приоритетов всего, что вы хотите. Я считаю, что Tomato QoS / Shaper работает лучше, чем все, что я пробовал (DDWrt и pfSense)

Я сейчас использую прошивку Tomato в несколько схожей ситуации, когда несколько человек используют одно соединение и платят за МБ использования.

My Linksys WRT54GL обычно имеет время безотказной работы около 60-120 дней, и это работает очень хорошо.

+1, это тоже хороший путь. Когда вы не можете заблокировать, попытайтесь расставить приоритеты. nik 14 лет назад 0
Итак, я войду в роутер, проверим наличие загрузок, а затем расставлю приоритеты? Означает ли это, что я должен продолжать проверять, или я могу заставить его автоматически расставлять приоритеты? Я не против работать, я просто хочу знать, будет ли это решение эффективным в мое отсутствие. Andrew 14 лет назад 1
Нет, наоборот. Для начала вы должны указать, какой трафик имеет приоритет и сохранить настройки. С этого момента маршрутизатор автоматически сделает это. Мне не пришлось присматривать за моей нынешней установкой почти год. Он просто сидит тихо и делает QoS. Действительно фантастический кусок программирования. scuzzy-delta 14 лет назад 0
Однако это позволит другим программам иметь лучшее подключение к Интернету только при необходимости, но не помешает потратить лишние мегабайты. Gnoupi 14 лет назад 1
Я бы следовал этой тактике, если ваш Linksys ее поддерживает, но в целом это ПОЛИТИЧЕСКОЕ действие, которое вы должны предпринять на рабочем месте. Jakub 14 лет назад 2
Gnoupi - это зависит от того, насколько серьезной является расстановка приоритетов. Если хотите, у вас может быть все, что не для просмотра веб-страниц, и оно будет иметь 1% пропускной способности, что будет означать крошечные дополнительные расходы с точки зрения окончательного счета. scuzzy-delta 14 лет назад 0
Похоже, что мои linksys wrt54g слишком новые для томатов, чтобы работать (в соответствии с их часто задаваемыми вопросами) ... какие-нибудь обходные пути? Есть хорошие заменители? Andrew 14 лет назад 0
@Andrew: ddwrt или openwrt fluxtendu 14 лет назад 0
Много технической информации здесь и в других сообщениях о различных способах блокирования, которые вы описываете. Однако вам действительно необходимо получить поддержку и политику управления, иначе люди просто будут искать способы обойти это. Убедитесь, что политика является общей в отношении личного использования, не ограничиваясь конкретным инструментом или даже протоколом. mpez0 13 лет назад 0
6
ridogi

Я бы предложил двойную тактику:

  1. Установите правила, чтобы разрешить трафик только для определенных услуг по вашему выбору, таких как DNS, Интернет, https, ftp, почта и т. Д. Попытка заблокировать порты, используемые приложениями P2P, - проигрышная битва, так как во многих случаях вы можете изменить порт используется в настройках приложения или переключиться на другое приложение.

  2. Другая вещь, которую нужно сделать, это поговорить с боссом или человеком, который принимает финансовые решения (если это не вы), и сделать это политикой, запрещающей это, и сообщить сотрудникам, что вы регистрируете то, что происходит, и кому-либо еще. использование P2P будет запущено. Не стоит тратить время на борьбу с постоянно растущей войной, чтобы найти надежный способ удержать людей от использования P2P.

Я предлагаю брандмауэры SonicWall, которые могут быть как внутренними по отношению к любым правилам, так и имеют параметры ведения журналов и отчетов. Упомянутая ранее прошивка для помидоров также может иметь эти возможности - я не очень знаком с ней.

1
user16825

Попробуйте opendns.com, зарегистрируйтесь, добавьте свой идентифицированный IP-адрес, отметьте, что вы хотите заблокировать, и обязательно добавьте DNS-адреса OpenDNS к маршрутизатору Linksys ... обычно на первой странице маршрутизатора. Убедитесь, что у вас есть безопасный логин / pw, назначенный вашим linksys, и, конечно, хороший pw для opendns.

Перейдите сюда, чтобы получить инструкции для вашего роутера: https://store.opendns.com/setup/router/

Кроме того ... если ваш провайдер предоставляет вам динамический IP-адрес, вам нужно будет проверить частоту смены IP-адреса и время от времени изменять настройки, в противном случае вы ничего не блокируете при его изменении.

Я не думаю, что OpenDNS будет работать. Лучшее, что он может сделать - блокировать веб-сайты, на которых можно найти торрент-файлы (например, piratebay) ... но это не остановит limewire, верно? Andrew 14 лет назад 0
Также не помешает кто-то отправить мне торрент-файл, который я могу дважды щелкнуть. Martin Marconcini 14 лет назад 0
это может заблокировать торрент-клиенту поиск некоторых трекеров, но не помешает заменить их на прямые IP-адреса. quack quixote 14 лет назад 0
1
Martin Marconcini

Если блокировка трафика p2p является реальной проблемой, вы можете получить настоящий межсетевой экран (Linux, OpenBSD и т. Д.). При правильной настройке (на самом деле это не так сложно, но вам придется много читать и играть на serverfault.com), вы можете заблокировать весь исходящий трафик, который вам не нужен, а также ограничить оставшийся исходящий трафик (который независимо от того, из P2P это всегда хорошая идея). Это требует времени и тестирования, но как только решение заработает, вам больше никогда не придется беспокоиться. Я работал с OpenBSD более двух лет без перерыва.

Как указано здесь, пользователи всегда будут находить новые способы пропускать трафик, но если вы будете сдерживать блокировку, даже если у них p2p, скорость будет ужасной, и они могут просто отказаться от идеи.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Я помню, у меня был пользователь, загружающий материал через какой-то странный порт, такой как сумасшедший. Поэтому я установил приоритеты для ftp через порт 22 и начал загрузку 2 ГБ на полной скорости с этого места (что было очень близко, поэтому на данный момент скорость составляла «полную скорость» 200 к / с). Это «убило» остальную часть сети. Конечный результат: не только другие пользователи сети злились на этого человека за то, что он «убил» их интернет, но и пользователю пришлось остановиться, потому что скорость загрузки была ужасной. Я объяснил ему «причину» медленной сети, потому что его P2p-соединение убивало старый маршрутизатор. (Ложь).

Он прекратил свою деятельность.

;)

0
Satanicpuppy

Должно быть довольно легко. Для большинства маршрутизаторов Linksys это будет примерно так: перейдите к интерфейсу администратора вашего маршрутизатора (просто наведите ваш веб-браузер на маршрутизатор. Я думаю, что по умолчанию это 192.168.1.1, но вы должны быть в состоянии узнать с вашего компьютера с помощью «tracert google.com»: маршрутизатор должен быть первой записью) и нажмите на вкладку с надписью «Ограничения доступа», под которой вы увидите пару вкладок с надписью «Заблокированные службы» с кнопкой под говорит "Добавить / Редактировать Сервис"

Нажмите кнопку Добавить / Изменить и введите диапазон портов, которые вы хотите заблокировать. Limewire по умолчанию 6346.

К сожалению, готовые версии не позволяют осуществлять мелкозернистый контроль. Если вы опубликуете модель вашего роутера, я проверю наличие обновлений прошивки. Если вы можете найти что-то, что предлагает полную поддержку IPTables, вы можете сделать белый список портов, который является лучшим способом ... Заблокируйте ВСЕ, кроме того, что вы хотите.

@Nik: Да, ты прав. Но это почти все, что вы можете сделать с помощью готовых Linksys. Настройка регулирования полосы пропускания и тому подобное требует настройки фактического прокси-сервера, а для этого в значительной степени требуется сервер и целый набор знаний (или куча готовых денег).

Если бы я собирался это сделать, я бы настроил прокси-сервер squid для регулирования контента, и если это не сработало, я бы просто подавил ад своих проблемных пользователей (или уволил их).

На самом деле эти вещи не работают так здорово. Через некоторое время люди «открывают» инструменты анонимного размещения / туннелирования, которые в конечном итоге занимают большую полосу пропускания для того же объема данных (шифрование, перенаправление P2P). Единственная хорошая вещь об этом - надеюсь, они будут разочарованы усилиями и дискомфортом этого пути. Но это не всегда работает. nik 14 лет назад 0
0
nik

Если правила исходящего брандмауэра вам не помогают (как я отметил в комментарии к другому ответу здесь),
следующим шагом будет рассмотрение фильтра на основе Snort .

Это будет немного сложнее и потребует дополнительных ресурсов и усилий.
Итак, посмотрите на это как на теоретическое предложение; если ничего не работает ...

  • Вы можете использовать установку на основе Windows, или выбрать окно Linux
  • Вам нужно будет установить определенные правила, такие как этот, который останавливает Bittorrent
    • там будет «кривая обучения», когда вы найдете сигнатуры, которые работают для вас
  • Вы можете уменьшить другие сигнатуры, связанные с «вторжением», для повышения производительности.

Это лучшее, что я могу придумать в данных условиях.
Добавлю больше заметок, если я получу лучшие идеи - или, может быть, некоторые из них увеличат это с помощью лучшего решения.

0
harrymc

Если вы управляете машинами в офисе, то вместо того, чтобы пытаться заблокировать порты на маршрутизаторе, почему бы вам просто не заблокировать приложение P2P в брандмауэре Windows?

Как это работает на уровне приложений, а не на уровне портов / протоколов. Затем приложение блокируется независимо от того, какой порт оно пытается использовать.

image

Примечание. Если приложение отсутствует в списке, вы можете добавить его в список с помощью кнопки «Добавить программу» в нижней части этого окна.

Я должен был упомянуть об этом, но у меня нет доступа к каждому компьютеру. Andrew 14 лет назад 0

Похожие вопросы